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Zusammenf assung: 

Die Erfindung betrif ft ein Verfahren und. eine Vorriehtung zur 
Erstellung pruf bar 1 f alschungesicherer elektronischer 
Dokumente mit einem extern gespeisten kryptograf ischen Modal, 
5 wobei die Pruf ung der Unverf alschtheit der v Dokumente phne 
Benutzung von Schlusselinf ormationen erfolgt, die dem t 
kryptograf ischen Modul eigen sind. 

Erf indungsgemaS zeiehhen sich das Verf ahren und die 
io «. Vorriehtung dadurch aus, dass das kryptograf ische Modul auch 
bei einer Speisung uber kryptograf isch nioht 
vertrauenswQrdige Kommunikationspartner mit zwei Arten von 
Daten vergorgt wird, die zum einerx im kryptograf ischen Modul 
verbleiben und die zutn anderen an das Dokument angehangt 
X5 werden, wobei die im kryptograf ischen Mociul verbleibenden 
Informationen genutzt werden, urn die Dokument inforniationen 
uber einen Pruf wert abzusichern und wobei die in das Dokument 
ubernommenen Informationen dazu dieneri, im Rahmen einer 
Prufung der Unverfalschtheit des Dokuments in einer 
20 Frufstelle die Absicherung des Dokuments durch das 
kryptografiache Modul nachzuweiseil. 
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Verfahren und Vorrichtung zur Erstellung prftfbar 
f alschungssicherer Dokutnente 



5 Beschreibung: 

Die Erf inciting betrifft ein Verfahren' zur Erstellung 
falschungssicherer Dokumente oder Datensatze, wobei eine 
Schlftsselinformation erzeugt und eine verechltisselte 
10 Pruf information aus .der schlusselinf ormation und einem 
Tranaakt ions -Indika tor gebildet wird. 

Die Erf indurig betrifft f erner ein Wertttbertragungszexjtrum iind 
ein kryptograf isches Modul. 

15 ' 

. Es is't eine vielzahl von Verfahren zur Erzeugung 
falschungssicherer Dokutnente und zu ihrer toerprufung 
bekannt. ftbliche verfahren basieren auf der Erstellung* 
digitaler Signaturen oder verschlusselter Pruf inf ormationen, 

20 die im Rahmen der Erstellung des Dokuments angefertigt 

werden. . 

Zu unterscheiden ist dabei zwischen Dokumenten,. bei denen der 
. Ersteller ein Interesse ah der Unverf alschtheit hat und 
25 solchen, bei denen. Dritte ein InterBase an der 
Unverf alschtheit haben. 



MM 



*iat ein Dritter Interesse an der Falschungssicherheit von 
Dokumenten, so ist es bekannt, dass bei der. Erstell^g, des;. . . , 
30 Dokumehts* ein sogenanntes ^kryptograf isches. Modul* ^j-.; 
hinzugezogen wird. Sol che bekannt en kryptograf ischen Module }' tM 
zeichnen sich dadurch aus, dass sie in itirem Iimeren y 
elektronische Daten beinhalten oder Daten verarbeiten, die . : " j 

von .au£en nicht unbemerkt eingesehen .oder manipuliert werden • - • 

**#<•.*■ 

3 5 konnen . I • . - ,1 " 

•• t • * - 

■ J .Vr-. > i' 
,* .'^ 

■ - •:'*'.**' 

- ; - ! 



itum 13.03.02 16:06 FAXG3 Nr: 490679 von NVS:FAXG3.I0.01Q1/0241 40071 21 (Seite 4 von 39) 



;i?V 



AC DPA 5206 




Ein kryptograf isches Modul kann als eichere, versiegelte 
Einheit betrachtet werden, in der sicherheits.relevante 
Prozesse durchgefuhrt werden, die von aufcen nicht msinipuliert 
warden konnen, Ein weltweit anerkannter Standard fur solche 
5 kryptograf ischen Module ist der von der tfS-amerikanischen 

nationalen Beh6rde fur Staridardisierung NIST ver6f f entlichte 
Standard fflr kryptograf ische. Module mit der Bezeichnung FIPS 
Pub 140. 

Wird zur Erstellung f aAschungssicherer Dokumente, an deren 
10 Unverfalschtheit Dritte interessiert sind, ein 

kryptograf isches Modul eingesetzt, so besteht eine ubliche 
Realisierung darin, dass das kryptograf ische M6dul genutzt 
wird, urn kryptograf ische Schlussel sieher zu hinterlegen, die 
innerhalb des Module, und nur dort, zur VerBchlftsselurig von 
is Prufwerten dienen, Bekannt .sind beispielsweise sogenannte. 
Signaturkarten, wie sie von Zertif izierungsbeh6rden oder 
Trustcentern zur Erstellung von .digit alen Signatures 
ausgegeben werden. Aueh dieee Signaturkarten, ausgefuhrt als 
Mikroprozessor-Chipkarte, enthalten in eben dieserrt 
so Microporzessor-Chip ein kryptograf isches Modul- . 

In solchen Modulen sind in der Regel ein oder raehrere 
asymmetrische Schlusselpaare hinterlegt, die sich dadurch . 
auszeichnen, dass Verschlusselungen, die mit dera sogenannten 
priyaten -Schlussel erzeugt werden, nur mit dem zugehorigen 
25 6ff entlichen Schlussel ruckgangig gemacht werden konnen und 
dass Verschlusselungen, die mit dem of fentlichen Schlftssel 
^fl^t erzeugt werden, nur mit dem zugehorigen pri vat en Schlussel 

r&ckgangig gemacht werden konnen. Gemafi ihrer Bezeichnung 
sind offentliche Schlussel dabei zur Verof fentlichung und 
30 beliebigen-Verbreitung vorgesehen, wogegen private Scfilussel 
nicht ausgegeben werden durf en und bei einer Verwendung 
zusammen mit kryptograf ischen Modulen diese Module zu keinem 
Zeitpunkt verlaaaen durf en. Weiterhin hinterlegt in solchen . 
Modulen sind Algorithmen etwa "zur Fr&f sumraeiibil dung .oder, itu 
35 Beispiel der digitalen Signatur, zur Erstellung eines 

. sogenannten 'digitalen Fingerabdrucks' oder .„ Hash- Wert s u ,- der 
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sieh dadurch auazeichnet, dass er heliebigen Dateninhalt auf . .. -,\ 
eine in der Regel quantitativ deutlich verldrzte Information 
derart abbildet , . dass das Resultat irreversibel und eindeutig 
ist und dass fur verschiedene Dateninhalt e, mitdenen der 
s Algorithmus gespeist wird, jeweils unterschiedliche Resultate 

entstehen. ' • 

Die Erstellung eines f alschungssicheren Dokuments, an dessen 
Unverfalschtheit Dritte interessiert Bind, mittels eines 

10 kryptograf ischen Module, das asymmetrische Schlftssel' und 

einen Algorithmus zur Erstellung von Priifwerten enth&lt, ■":■.-*:?•:■ 
' geschieht tiblicherweise wie folgt: Zunichst wird unter . 
Anwendung des Algorithmus zur Erstellung von Prftfwerten ein 
solcher Prufwert erstellt, der sich auf das zru sichernde 

is Dok;ument bezieht. Daiui wird ein privater Schlussel im 
kryptograf ischen Modul benutzt, urn den Prufwert zu 
verachlusseln. Die Kombination dieser beiden Vorgange wird 
als Erstellung einer „digitalen Signature bezeiclinet. 

20 Die Priifung einer solchen digitalen Signatur geschieht 

Gbiicherweise wie folgt: Der" Empf anger erhalt das Dokument . 
und den verschlusaelten Frtifwert.- Der Empf anger benotigt 
weiterhin, und darauf zielt die spater geschilderta Erf indung 
ab, den of fent lichen Schlfcssel des Dokumentherstellers und 

25 verwendet diesen zur Entschlusselung des Prufwerts, den der 
Dokumenthersteller mit seinem privaten Schlussel innerhalb 
des kryptograf ischen Moduls verschl-usselt hatte, Nach der . 
Entsahl&seelung besitzt der Empfanger somit den \ "$ : ' r t 

unverschltisselten Prtifwert. Weiterhin wendet der Empf anger, im , . • Lf|j\ : \ 

30 nachsten Schritt den gleichen Algorithmus zur Erstellung ' 
eines Prufwerts auf das empfangene Dokument ari. Im dritten 
Schritt schliefclich vergleicht der Eritpf anger den selbst V , 

erzeugten Priifwert mit dera ent schlussel ten Prufwert des . 1 .," 

Dokumentherstellers. Stimmen beide Prftfwerte uberein, so 

35 wurde das Dokument nicht verfilscht und die Unverf aischtheit ::- * i& 

• ' ■ » • ■ . * J. 

: - VL' • 
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dee Dokuraents ist zweifelsfrei nachgewiesen. Ublicherweise • V.JA. 
wird bei bekannten digitalen Signaturen auch ; die '* % 
Authentizitat des Dokumentherstellers gepriift. Dies 
geschieht, indem der of fentliche Sehiassel des 
s bokumentherstellers von einer sogenannten 

Zertif izierungss telle Oder „CA n ebenfalls digital signiert 
und einem bestimmten kryptograf ischen Moclul, beziehungsweise 
einem bestimmten Inhaber des kryptograf ischen Moduls, 
zugeordnet wird. Der Empf anger des Dokuments nimmt in diesem 
10 Fall den offentlichen Schlussel des Dokumentherstellers 'nicht 

einfach als gegeben an, sondern toerpruft dieaen ebenfalls'; -: • 

auf Zugehdrigkeit zum Dbkumenthersteller, indem er die' V \ 

digitale Signatur des 6f f entlichen'. Schlusaels in der oben 
geschilderten Weise uberpruft. * 



Bei diesen bekannten Verfahren besteht das Problem, dass zur • . /'i 



Prufung der Unverf alschtheit eines Dokuments eine Information 
erforderlich iBt, die unmittelbar mit der Verwendung von 
Schlusseln durcli den Dokumeiithersteller mittels des 

20 kryptograf ischen Module zusammenhangt - Im oben angefuhrten 
ublichen Beispiel der Erstellung von digitalen Signatured, 
handelt es sich urn den offentlichen Schlussel des 
Dokumentherstellers bzw. dessen kryptograf ischen Module , der 
zur Prdfung herangezogen werden muss- Im Palle der Signatur 

25 des offentliohen Schlussels durch eine Zertif izierungsstelle 
wird das Gesamtgebilde aus offentlichem schlussel, 
Tdentifikation des Anwenders dieses Schlussels sowie der : 
digitalen Signatur der Zertif izierungsstelle als 
. ' „Schlusselzertif ikat" bezeicljhet* 

30 

Zusamrriengefasst lasst eich diese Problematik an einem 
Beispiel derart schildem, dass es zur PrQfung der 
Unverf alschtheit eines ublichen digital signierten Dokuments ■ £jr j:;. 

erforderlich ist, den offentlichen Schlussel oder.das ^if. 
35 SchlusBelzertif ikat des .Dpkumentherstellers bzw. seines ' y\ i*> 
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kryptografischen Module bei der Prttfung zur Verfugung zv. ' 
•haben. Sollen an einer Prafstelle, wie tolich, Dokumente 
verschiedener Dokumenthersteller gepr&ft werden, bo ist es 
, erforderlich, dort alle of fent lichen Schlussel oder. alle 
5 .Schluseelzertif ikate ailer Dokumenthersteller zur Verfugung 
' * zu haben, 

Es exiBtieren verschiedene Mftglichkeiten, der Anforderung 
gerecht zu werden, den of feht lichen Schlussel dee 

10 Dokumentherstellers bei der Prilfung zur yerfftgung zu haben. 
So 1st es* m6glich, den of fent lichen Schliissel oder das 
Schlttsselzertif ikat des Dokumentherstellers an das zu 
s.ichernde Dokument anzuhangen. Bine weitere Moglichkeit 
besteht darin, den 6ffentlichen schlussel an der Prflfstelle 

is zu hinterlegen und bei Bedarf auf. diesen zuzugreifen. 

* * 

Die bekannten Verf ahren sind jedoch mit Nachteilen verbunden. 

Das Anhangen des Schlttssels oder des Schlussel zert if ikats ist 
20 dann nachteilig, wenn der Umf ang des Dokuments rndglichst 

gering gehalten werden muss und ein angehangter Schlftssel den 
zu druckenden, zu ftbertragenden oder zu verarbeitenden 
Datensatz ubermal3ig vergrofeem wurde. 

'\ 

25 Eine Hinterlegung eines dffentlichen Schlussels an der 

Prufstelle ist insbesondere dann nachteilig, wenn ein Zugriff 1 
auf an der Prufstelle hinterlegte Schlftssel aus praktischen 
oder zeitlichen Erwagungen fiicht moglich ist, beispielsweise 
bei einer . sehr hohen Anzahl von .vorgehaltenen Schlftsseln, auf 

30 die in sehr kurzer Zeit zugegriffen werden' musste. - 

Zur Losung dieser bekannten Nachteile ist es aus der 
Deutschen Patent schrift DE 100 2 0 563 C2 der Anmelderin 
bekanht , bei einem gattungegeraafien Verf ahren in einem 
35 Sicherungsmodiil ein Geheimnis zu erzeugen, das Geheimnis 



■•*■ .V-" V;' 
'3 ■ . " 



_■* 1 
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zusammen mit Informationen, die Auskunft -ftber die Identitat; 
. des Sicherungsmoduls geben, verschlftsselt an eine 

Bescheinigungsstelle zu ubergeben, das. Geheimnis in der 
Bescheinigungsstelle zu entschlusseln, hierdurch die . 
,5 Identitat des Sicherungsmoduls zu erkennen, anschliefiend das 
- . Geheimnis zusammen mit informationen, zur Identitat des 
. Dokuttient hers tellers derart zu verschluBseln, dass nur eine 
Pruf stelle eine Entschlusselung vornehmen kann, urn dahn das 
Geheimriis an einen DoWjmentherstellex zu ubermitteln. Bei 
ao diesem Verfahren gibt der Dokumentherstialler eigene Daten in 
das Sicherungsmodul ein, wobei das Sicherungsmodul die selbst 
von dem Dokumenthersfcellep eingebracht en Daten mit dem 

• Geheimnis irreversibel verknupft und wobei keine Ruckschlusse 
auf das Geheimnis moglich sind. Dieses bekannte Verfahren 
15 zeichnet eieh dadurch aus, dass das Ergebnis der 

irreversiblen -Verknupfung der von dem Dokumenthersteller 
eingebracht en Daten mit dem Geheimnis, die von dem 
Dokumenthersteller selbst eingebrachten Daten sowie die 
verschlusselten Inf ormationen der Bescheinigungsstelle das 
20 Dokument bilden, das an die PrCLfungsstelle ubermittelt wird. . 
Dieses bekannte Verfahren eignet sich insbesondere zur 
Erzeugung und Prufung f alschungssicherer Brief marken eines 
Postunternehmens. Solche Bxiefmarken werden durch Kunden 
eines Postunternehmens unter Verwendung eines pers6nlichen 
25 kryptograf ischen Modiils erzeugt und als maschinenlesbarer 
Barcode auf die Sendung aufgebracht. Der maschinenlesbare 
Barcode hat nur einen sehr begrenzten Datenumfang und erlaubt 
es somit nicht, den offentlichen Schlussel des Kunderi mit 
einzubringen. AuiSerdem mussen in der sogenannten 
30 Briefproduktion die digitalen Briefmarken in kurzester Zeit 
gelesen und gapruft werden, wodurch die Moglichkeit, in 
Sekundenbruchteilen auf eine Datenbasis von moglicherweise 
vielen Millionen offentlicher Schlussel zuzugreif en, 
ebenfalls entfallt. 

35 




urn 13.03.02 16:06 FAXG3 Nr: 490679 von NVS:FAXG3.I0.0101/02414007121 (Seite 9 von 39) 



AC DPA 5206 




20 

( 



25 




. 7 - * ' " ' ./* • • ■ : ! ;<i • 

Der.Erfind.uiie liegt die Aufgabe znagrunde, ein bekanntes y- ; 
Verfahren go weiter zu entwickeln, dass- es unabhangig von 
einer unmittelbaren Kommunikation zwischen der kryptograf isch 
vertrauenswurdigen Kontaktstelle' und dem Dokumenther s teller 
5 durchgef iihrt werden kann . , 

ErfindungsgemaS wird diese Aufgabe dadurch gelost, dass die 
Erstellung der zufalligen Schlxisselinf ormation .und die 
Bildung der ' verschlusselten Prftf information aus der 
xo 1 Schlusselinf ormation und dem Transaktionsindikator in einer 
kryptograf isch vertrauenswurdigen Kontaktstelle erfolgen, 
dass die kryptograf isch vertrauenswurdige Kontaktstelle die 
Schlussel information verschlusselt , und dass die 
verschlusselte Pruf ihiormation und die verschlusselte 
is Sdhlusselinformation von der kryptograf iach 

vertrauenswurdigen Kontaktstelle an eine Zwischanstelle 
ubermittelt werden, dass die Zwischens telle . die 
verschlusselte Schlussel information und die verschlusselte 
Pruf information zwischenspeichert und zu einem spateren 
Zeitpunkt zeitlich von der Ubertragung. zwischen der 
kryptograf isch vertrauenswurdigen Kontaktstelle und der 
Zwischenstelle entkoppelt an ein kryptografisch.es Modul eines 
Dokumentherstellers ubermittelt. 



Die Erfindung sieht somit vor, dass das kryptograf ische Modul 
auch bei einer Speisung uber eine Zwischenstelle, 
beispielsweise uber im kryptograf ischen Sinn nicht 
vertrauenswurdige Komrtruhikationspaftner tnit zwei Arten von 
• Daten versorgfc. wird, die zurti einen im kryptograf ischen Modul 
30 ■ verbleiben und die zum anderen an das Dokument angehangt 
werden, wobei die im. kryptograf ischen Modul verbleibenden 
Informationen genutzt werden, urn die Dokument informationen ■ 
uber einen Prufwert abzus'ichern und wobei die in das Dokument 
ubemommenen Informationen dazu dienen, im Rahmen einer 



*.**.• ■ i 1 
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Prttfung der Unverf alschtheit des Dokuments in einer. 
Pruf stelle die Absicherung des Dokuments durch das 
kryptograf ische Modul nachzuweisen. 

5 1 Die Erfindung beinhaltet eine Vielzahl von Vorteilen. Sie 
ermoglicht eine Erzeugung f aischungssicherer Dokumente in 
einer.. Vieizahl von Anwendungsf alien, insbesondere bei solchen 
Fallen, bei denen.keine direkte Verbindung zwischen dem 
Dokumenthersteller und der vertrauenswiirdigen Kontaktstelle 
xa besteh't* Beispielsweise ist es hierdurch moglich, 

' f&lechungssiehere Dokumente ohne einen Einsatz von Computern 
und/oder eine Datenverbindung zu der vertrauenswiirdigen 
Kontaktstelle zu. erstellen. 

15 Grundsatzlich ist es mdglich, die Schlttssel information nach 
einem vorgegebenen Muster auszuwahlen. Dies erleichtert 
jedoch kryptograf ische Entschlusselungsattacken {Enigma- 
Problem) „ 



Es ist besonders vorteilhaf t , dass die Schlusselinf ormation 
dadurch erstellt wird, dass sie zufallig gebildet wird, 
obwohl die Erfindung mit einem vorgebbaren Satz von 
Schlusselinformationen/durcbgefOhrt werden kann. Die 
jeweilige zufallige Erzeugung dex SchlCisselinf ormationen . ist 
25 deshalb besondere vorteilhaf t, da so eine Speicherung einer 
Vielzahl von Schlftsselinf ormationen vermieden wird. 

' Es bat sichals zweckma&ig erwiesen, dass die verschlusselte 
Schlusselinformation und/oder die verscnlusselte 
30 Pruf information so beschaffen sind, dass sie in der 
Zwischenetelle nicht entschlusselt werden koimen. 

Eine Entsehlusselung der Schlusselinf ormationen durch das 
kryptografische Modul beinhaltet mehrere Vorteile* Hierdurch 
as ist es moglich, daes ein Benutzer des kryptograf ischen 
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Module ,. .insbesondere ein Dokumenthersteller, eine Bestatigung 
erhalt, Inf ormationen der vertrauenswurdigen Kontaktstelle, 
insbesondere von der vertrauenswurdigen Kontaktstelle 
geschaffene Geldwerteirif ormationen erhalten zu haben. 
5 AuSerdem is.t es hierdurch moglich, dass das kryptograf ische' 
Modul' die enthaltehe Schlusselinf ormation fur eine 
nachfolgende Verechlueselung einsetzt*. 

Ein bevorzugter Eineatz der Schlusselinf ormationen dient zu 
io. einer verschlusselung von eigenen Daten des 
Dokumentherstellers . 

• ZweckmaGigerweise ubergibt der Dokumenthersteller die eigenen 
Daten in einem moglichst automatisierten Verfahren dem 
is kryptograf ischen Modul. • 

Eine besonders bevorzugte Ausfuhrungsf orm der .Erf indung. 
zeichnet. sich dadurch aus, dass das kryptograf ische Modul die 
vom Dokumenthersteller eingebrachten Daten mit der 
20 '. Schlusselinf ormation irreversibel verknupft. 

Hierbei ist es besonders vorteilhaft, dass die irreversible 
Verknupfung zwisdhen den von dem Dokumenthersteller 
eingebrachten Daten iind der entschlusselten 
25- Schlussel information dadurch erf olgt, dass unter Verwendung 
^ der Schlusselinf ormation ein Prufwert ..fur das Dokument 

gebildet wird- 

Femer ist es besonders zweckmafiig, dass das. Ergebnis der 
30 irrevereiblen Verknupfung der von dem Dokumenthersteller 
eingebrachten Daten mit der entschlusselten 
Schlussel information ein Dokument und/oder einen Dateneatz 
bilden, der an eine Prufstelle ubermittelt wird. 

35 Es hat sich weiter als zweckmafiig erwiesen, dass das an die 
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10 

Px-af ©telle ubermittelte Dokument die von dem . ^ V/ 

Dokumerithers teller eingebrachten eigenen Daten wenigstens 
teilweise im Klartexfc entha.lt. 

s Dazu 1st es besonders zweckmaSig, dass in das an die 
Prif stelle - 'ubermittelte Dokument die verschluaaelte 
Fruf information 'eingebracht wird. 

Vorteilhaft ist, dass die im kryptograf ischeri Modul 
10 - verbleibenden informationen derart verechlttsselt sind, dass 

diese im kryptograf is chen Modul entschlusselt werden k6nnen . 
und dass es sich bei der im kryptografischen Modul -> " '. ] 

vsrbleibenden information' urn einen Wert handelt, der nicht * f-jr - ^V. 



». ■*. 



Besonders vorteilhaft ist, dass die Versorgung des 
kryptografischen Module uber kryptograf iach nicht 
vertrauenswurdige Kommunikationspartner, derart erfolgt, dass 
ein Austausch von Informationen innerhalb eines Dialogs nicht 
20 erforderlich ist. 

Ebenfalls von besonderem Vorteil ist, dass die Versorgung dfes 
kryptografischen Module uber kryptograf isch nicht 
vertrauenswurdige Kommunikationspartner derart. erfolgt, dass 
25 die Weiterreichung der Informationen an das kryptograf ische 
-5. Modul zeitlich entkoppelt ist. 

Als wichtig und zweckma£ig hat sith ergeben, dass die 

Versorgung des kryptografischen Moduls auch bei einer 

30 Speisung uber kryptografisch nicht vertrauenswurdige 

Kommunikationspartner durch eine vertrauenswurdige Stelle *';■■>, s' 

erfolgt, auf deren Informationen sich die Pruf stelle ; *, 

verlassen kann. • 

» 

35 Vorteilhaft ist dabei, dass zur Bereitstellung 

: i • - 

Y . > 1 - s 
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vertrauenswurdiger Informational! fttr das kryptograf ische 
Modul durch eine vertrauenswGrdige Stelle kryptografische 
VerschlxXssalxingen • angewendet werdeii, .die die Pruf stelle 
ruckgangig machen kann. 

Bine zweckmafcige Weiterentwicklung des Verfatirens sieht- vor, 
es so durchzufuhren, .dass die beiden Art en von Daten 
kryptograf isch raiteinaiider verknupft sind, jedoch nichf auf 
dem Wege der Kryptoanalyse aufgedeckt werden. 



Dazu hat ,sich als Vorteil gezeigt, dass die. kryptografische 
Verknupfung der beiden Arten voh Daten dergestalt ist, dass 
nicht linear© Anteile, die nur der vertrauenswurdigen 
Kontaktstelle und der Prufstelle bekannt sind, hinzugefugt 
15 warden, 

Vorteilhafterweise wird das Verfahren so durchgef uhrt >^ dass 
die erstellten f aischungssicheren Dokumente oder Datensatze 
geldwerte Inf ortnationen enthalten. 

SO Es ist zweckmaSig, dass die geldwerte Information 

kryptograf isch' mit dem Dokument oder dem Datensatz derart 
verbunden ist, dass durch einen Vexgleich zwiechen der 
geldwerten Information und dem Dokument oder den Datensatz 
ein Priifwert gebildet werden kann. 

25 Femer ist es vorteilhaf t ,< dass die geldwerten informationen 
einen Nachweis uber die Entrichtung von Portobetragen 
enthalten- 

Ein weiterer Vorteil ist darin gegeben, dass die eine 
Entrichtung eines PortobetrageB nachweisenden geldwerte 
'so Informationen mit identif ikationsangaben des 
Dokumentherstellers verknftpft sind* 
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Ferner ist es nfttzlich, dass der Nachweis Obeic die V* ' 
Entrichtung eines Port obe it rages mit einer. Adressangabe 
verkniipft. ist.- • ; . 

Bin sehr wichtiges Anwendungsgebiet der Erf indung ist die 
5 Erzeugung von 'Preiraachungsvermerken . In diesem wesentlichen 
Anwendungsfall k&nnen verschiedene Zwischenstellen einjgesetzt 
werden. Beispielsweise .kann ein Werttabertragringszentrum eines 
r Frankiermaschinenherstellers als Zwischenstelle ' genutzt 
werden, 

10 

Ein weiterer Gegenstand der Erf indung ist ein 

Wertflbertragungs.zentrum mit einer . Schnittstelle zum Laden voh 
Wertbetragen. In der entsprechenden Weiterentwicklung der - 
Erfindung fungiert das Wert\ibertragungszentrum 
15 vorteilhafterweise als eine Schnittstelle zum Empfang von., 
verschlueselten Inf ormationen- einer kryptograf isch 
vertrauenswurdigen Kontaktstelle und'zur Zwischenspeiche:rung 
der erapfangenen yerschltisselten Inf ormationen. 

Es ist vorteilhaft, dass die Inf ormationen so verschlCusselt 
sind, dass sie in dem Werttfbertragungszentrum nicht 
entscbltisBelt werden konnen. 

Ferner ist es vorteilhaft, dass es Mittel fftr einen Bmpfang , 
von Wert^ibertragungsauf f brderungen durch wenigstene ein 
kryptograf isches Modul und zur zeitlich* entkoppelten 
Weitergabe der erhaltenen verschlusselten Inf ormationen 
enthalt. 

Besonders vorteilhaft ist ein kryptograf isches Modul zur 
Erzeugung f Slschungssicherer Dokumente mit Mitteln zur 
Ausgabe von verschlusselten Pruf inf ormationen und eines. ■ 
Prftfwerts. 

Eine vorteilhafte Ausf fthxungsf orm sieht vor / dass das 
kryptograf ische Modul wenigstens ein Mittel zum Ert5>f ang und 
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i 

zur Entschlus selung von Schlfieeelinformationen und wenigstenB 
ein Mittel zum. Empfang Bines Dokuments oder eines Datenaatzes 
enthalt, und dass das kryptograf ische Modul fiber wenigsteRS* 
ein Mittel zur Erstellung eines Prufwerts fur das Dokument 
s oder den Datensatz verfugt. . _ . 

Weitere Vorzuge, Besonderheiten und zweckmaSige 
Weiterbildungen der Erf indung ergeben sich aus den 
Unteranspruchen und der nachf olgenden Darsteliung bevprzugter 
10 Ausfuhrungsbeispiele' anhand der Zeichnungen* 

Von den Zeichnungen zeigt 

Fig, 1 das Grundprinzip eines bekannten krypto- 

15 graf ischen Verfahrens, 

Fig- 2 eine Prinzipskizze fur eine Prinzipdarstellung 

einer erf iridungsgemaJSen Krzeugung digitaler 
Freimachungeh und 

Fig. 3 ' eine Prinzipdarstellung besonders bevorzugter f 

Verfahrensschritte fur die Erzeugung 
f alschungssicherer Dokumente. 

25 Zur Losing dieses Problems ist aus der Deutschen 

Patentschrift DE 100 20 563 ein Verfahren zur Erstellung 
f alschungssicherer Dokumente bekannt, bei dem. die 
Notwendigkeit , Inf brmationen aus dem kryptograf ischen Modul 
des Dokuraentherstellers zur Pruf ung zu verwenden, entf allt , , 
30 Statt des'sen basiert dieses Verfahren darauf, dass eine 

Zuf allszahl im kryptograf ischen Modul dea Kunden gebildet 
wird* Das genaue Verfahren mit seinen drei beteiligten 
Parteien {1. Dokumenthersteller mit kryptograf is chem Modul, 
2. Prufst.elle und 3. Vertrauenswurdige Kontakts telle) ist ih 
35 der beigefugten Fig. 1 dargestellt Die im nachf olgenden Text 
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genannten Nummern be Ziehen sich auf die in der Fig. l 
dargestellten Schritte des Verfahrehs. 



C- ^ - t-S 



10 




15 



20 



25 




30 



35 



In Pig. l wird ira kryptograf ischen Modul dee 

Dokuinentherstellers ' eine Zufallszahl erzeugt und gespeichert 
(1) , die zusammen thit der Identit&t oder 

Identif ikationsnummer des Dokumentherstellers oder des • 
kryptograf ischen Module verschlusselt (2) an eine 
vertrauenswurdige Stelle fibermittelt wird J3) . Diese " 
vertrauenswurdige .Stelle entschlusselt die Zufallszahl und 
die Identif ikationsnummer (4) , -aberprftft die. RechtmaSigkeit 
der Anfrage (5) und verschliisselt daraufhin die Zufallszahl 
und einen neu gebildeten Transaktions-Indikator in der Weise, 
dass nur die Prftfstella in der Lage ist, diese 
Verschlttsselung riickgangig zu maohen (6) . Die derart 
. verschlusselte Zufallszahl und der Transaktions-Indikafcor 
werden an den Dokumenthersteller zuruckgesandt (7) - Bei der 
spateren Erzeugung f alschungssicherer Dokument e gibt der 
Dokumenthersteller nun das zu ©ichemde Dokument in das 
kryptograf ische Modul ein (8) . Dort wdrd unter Verwendung des 
Dokument en - Kl art ext e s und der noch-itraner gespeicherten 
Zufallszahl ein Priifwert gebildet (9) . Ubertragen zur 
Prufstelle wird nun das Dokument im Klartext, die von der 
vertrauenswurdigen Stelle Qbertragene verschlusselte 
Zufallszahl und der verschlusselte Transaktionsindikator 
sowie die im kryptograf ischen Modul erzeugte Prufinf ormation 
(10) . In der Prufstelle erfolgt die Feststellung der 
Unverfalschtheit nach einer Grobprftfung der 

Dokumentenstruktur (11) durch EntschlHsselurig der Zufallszahl 
und des Transaktions-Indikators, die in der 

vertrauenswurdigen Kontaktstelle verschlusselt warden waren 
(12) . AnsohlieiSend wird wie im kryptograf ischen Modul des 
Dokumentherstellers unter Verwendung des Dokumenten-Klartexts 
und der soeben entschlusselten Zufallszahl ein Pr&fwert 



--4*. ;- : J 



a . * i • : f 



mm 
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gebildet . (13 : ) . Dieser Prufwert wird schlieSlich mit. dem' vom 
Dokumenthersteller Obertragenen Prttfwert .verglichen (14) . 
Stimmeh beide xiberein, so ist siahergestellt, dass das 
Dokument iinter Verwendung eines bestimmten kryptograf ischen 
5 Moduls erzeugt wurde, da die erf order liche Zufallszahl nur 
dort vorhanden ist und dieses* Modul kryptograf isch 
abgesichert mit der vertrauenswurdigen Kontakts telle 
ihf ormationen ausgetauscht hat. Da znm einen ein beBtimmtes 
kryptograf is ches. Modul verwendet wurde und zum anderen der 
10 Prufwert tUaereinstimmt, ist sowohl die Identit&t des 
Dokumentherstellers als auch die Unverf alschtheit des 
Dokuments sichergestellt . 

" Das beschriebene Verfahren wird in Abwandlung von der 
is Deutschen Post fur die. Her st el lung von Internet -Br iefmarken 
•unter der Bezeichnung „PC-Frankierung" einges'etzf . Es 
. zeichnet sich zusammengefasst dadurch aus, dass die Prufung 
der Unverf alschtheit der Dokumente ohne Benutzung voh 
Schlusselinformationen erfolgen kann, die dem 
20 kryptograf ischen Modul eigen sind. Vielmehr verlassst sich die 
Prufetelle zum Teil auf Inf ormationen einer 
vertrauenswurdigen Kpntaktstelle. 

Brf indungsgemaS wird ein Verfahren zur Brzeugung digit aler* 
25 Dokumente und Datensatze geschaffen, das ohne einen direkten 1 
Kontakt zwischen einer kryptograf isch vertrauenswurdigen 
Kontaktstelle und dem kryptograf ischen Modul, beziehungsweise 
eineia das kryptografische Modul einsetzenden 
Dokumenthersteller erfolgen kann. 

30 

Obwohl die Brzeugung der. Dokumente und Datensatze keineswegs 
a'uf die Brzeugung . von Freimachungs vermerken , beziehungsweise 
auf mit Preima chungs vermerke versehene Postsendungen 
* beschrankt ist, stellt der Binsatz der dargestellten 
35 Verfahrens- und Vorrichtungsmerkmale in einem Verfahren zur 
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Erzeugung digitaler Freimachungen eine besonders bevorzugte. *■ ! . ^ /ijj/ 

Ausftihrungsform der Erf indung . dar . 

Eine derartige Ausfuhrungsf orm wird nachfolgend anhand von 
s Fig. 2 dargestellt. ^ 

Das schematische Modell beziehungsweise die Funktionsweise 
der neuen , digitaien Freistempelung iet in FIG. 2 skizziert 
und nachfolgend beschrieben: 

10 

I ■ 

1 . Im Vorfeld dee Ladevorgangs zwischen dem vorgabezentrum 
des Anbieters und der Digitaien Freistempelmaschine des 
Kunden stellt das Postunternehmen dem Anbieter au£ . 
15 elektronischern Wege mnach i nenbezoffene Xnfcurma tionen zur 

zukunftigen Einspeisung in die Digitaien 

Freistempelmaschinen zur Verfiigung. Dieae Inf ormationen . 
umfaesen unter anderem eine Schlusselinf ormation zur 
Verwendung in der Maschine und einen sogenannten 
20 ^Validity-String^, ' der zur spateren Prufung im Brief zentrum 

verwendet wird sowie Inf ormationen zur Bonitat von 1 Kunden. 
Teile dieser Inf ormationen sind derart verschlftsselt , dass 
sie nur innerbalb der Freistempelmaschine ent sahltisselt 

werden konnen, }#3u.*iji 

' '*■-■'. ; : . ffiw. 

2S 2. Zwischen der Digitaien- Freistempelmaschine des Kunden uhd ' m : 

dem Fernw&hl -Vorgabezentrum des Herstellers wird ein ; i 
Voprcrabe -Xradevox-g-ang* tnit, dem ziel durchgefuhrt , den 
verfQgbareri Portowert in der Freistempelmaschine zu 

erhohen. Wahrend dieses Ladevorgangs werden auch die ; *; 

30- (zuvor von der Deutschen Post bereitgestellten) 

maschinenbezogenen Inf ormationen in einen "ir2**\j; 
manipulationssicheren Bereich der Digitaien - ; t^^<|^ 

. Freisterapelraaschine 'ubertragen. Bin derartiger' ^Vjf -^'4 

Ladevorgang, bei dem die (von dem Postunternehmen v i i 

35 bereitgestellten) Inf ormationen in die Maschine Obertragen 

werden, sollte innerhalb bestiramter Toleranzen regelmafiig, 



rf-V J 
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3. Im Nachgang des Vorgabe-Ladevorgangs (Schritt 1.) findet 

■ zwischen dem Vorgabezentrum des Ahbieters und dem als 
vertrauenswurdige Kontaktstelle dienenden Postage-Point * 
des Postunternehmens ein^ gesicherte, elektronische 

is Kommunikation uber den Kauf eines bestJLmmten JPorfcobetrags 

£uxr axnen Xunden statfc. Bei dieser Datemibertragung werden 
Abrechnungs- und Nut zungs informationen an das 
Postuntsmehmen ubertragen. Da die oben beschriebene 
Bereitstellung von Informationen f&r den. nachst^n 

20 Ladeyorgang deutlich im voraus erfolgen kapn, ist es 

mSglich, aber nicht '.notwendig, die Schritte 3 und 1 zu 
kombinieren, sodas^ Schritt 3 des soeben abgeschlossenen 
Ladevorgangs mit Schritt 1 far den nachf olgenden 
Ladevorgang zusatnmentref f en, 
i 

25 4. Den bei der vertrauenswurdigen Kontaktstelle, dem Postage- 
Point des Postunternehmens, gekauften. Portobetrag stellt 
das Po stunt eraehmen dem Kunden unmit^elbar per Lastschrift 
in Kecixnuxtg. 

5. Mit der geladenen Digitalen Freistengpelmasctiine konnen . 
3 0 prinzipiell so lange gaitige digits J e FrelstBmpelahdiruako 

attBg-G&ruckt werden, bis- das Guthaben aufgebraucht ist. Die 

■ digitalen Freistempelabdrucke enthalten einen 
zweidimensionalen Matrixcode (2D-Barcode) , in dem 
zusatzliche Daten enthalten sind, die unter anderem, wie 

35 in' Schritt 1 beschrieben, im Vorf eld von dem 



17 ' .. .. . . 



beispielsweise einmal innerhalb eines vorgebbaren \. v^I-ijfr 

Zeitintervalls, beispielsweise monatlich erfolgen. Falls 
keine neue Vorgaben geladen warden sollen> ist einmal 
monatlich ein entsprechender Kommunikationsvorgang 
5 zwischen der Freistempelmaschine und dem Vorgabezentrum 

durchzufuhren, bei dem ebenfalls die von dem 
Postunternehmen bereitgestellten Informationen in die 
Maschine i&bertragen werden. Die Kommunikatiori zwischen 
Vorgabezentrum und Digitaler Freistempelmaschine muss in 
10 angemessener und uberprufbarer Weise abgesichert' sein. . • 



'7" : L Li: 



?*5? V. 
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Postunternehmen zur Verfiigaing gestellt wurden und die 'im 
Brief zentrum zur Prufung der Gultigkeit herangezogen. 
we r den . ' 

6. Postsendungen mit digitalem Freistempelabdruck konnen fiber 
s 1 die von dem Postunternehmen bereitgestellten 

Moglichkeiten, z.B. Brief kasten, Postf iliale, eingeliefert 
warden. 

7 . Sexidungen mit digitalem Freistempelabdruck werden von dem 
Postunternehmen nach Uberprufung der Gttltigkeit bef ordert - 1 

10 8 ♦ In einem Abgleich konnen geladerie Portowerte dee kunden 
mit den im Brief zentrum gelesenen Portowerten verglichen 
werden. 

Bei den Informationen, die', wie im o,g. Schrittl 
is beschrieben, vorab von 'der Deutschen Post zur Verfttgung 
gestellt werden, sind im Sinne der vorliegenden Erfindung 
zwei Bestandteile von Bedeutung, namlich zum einen eine 
Schl&eseiihformation m^y zur Verwendung in der Maschine und 
zum anderen eine sogenannte Pruf information VS.. Die 
30 Schlussel information m^ey wird vom Postage Point des 
Postunternehmens, der als vertrauenswurdige 

Koramunikationsstelle dient, derart versehlusselt , dass eine 
Enteehlusselung nur im irtanipulationssicheren Bereich der . 
Digitalen Frei st empelmas chine (kryptograf isches Modul) 

25 moglich ist. Die in sich bereits verschlusselte 

Pruf information VS kaim ohne weitere Transportverschlusse.lung 
an die Freistempelmaschine bzw. das kryptograf ische Modul . 
ubertragen werden, Durch die Verechliisselung der 
Schlusselinformation mjc ey ist eine Entschlusselung nur im 

30 kryptograf ischen Modul der Freistempelmaschine moglich, nicht 



fV-i 




jedoch auf dem liiciit vertrauenewtixdigen Kotnmunikatipxisweg. . ^jf^jt|? 
Das Prinzip der Siaherheit der Erstellung falscbungssicherer 
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Dokumente mit einem extern auf unsicherem Weg gespeisten 
kryptograf ischen Modul wird in der' FIG. 3 scheraatisch 
dargestellt : 



i 

1« In einem ersteri Schritt wird in einer vertrauenswurdigen 
Kontaktstelle, die in der praktisehen Realisierung dem 
Postage Point des Postunternehmens entspricht, eine 
Schliissel information gebildet. Diese Schlussel information 
10 . dient spater dazu, im kryptograf ischen Modul zur 

Erstellung eines Prufwerts herangezogen zu werden. 
Sinnvollerweise verbleibt diese Schlussel information . 
spater im kryptograf is chen Modul und wird dieses nicht 
verlaasen, 

is 2 . In einem zweiten Schritt. wird eine sogenannte ' : 

Pruf information' gebildet . Diese wird zusaramengestellt aus . - t ' 

der Schlussel information aus Schritt 1, einem . ' 

Transaktions-Indikafcor, der Zusatzinf ormationen zum 
nachsten Ladevorgang des Kunden enthalt, sow^e aus 
20 waiteren. Xnf ormationen. Die Zusamraenstellung und *\?"*"-*'< 

ansehlie£ende Verschlusselung dieser Blemente der ' s-^'^'V 

Pruf information geschieht in einer weise, dass nur die '';»■ 
Prufstelle spater in der Lage 1st, diese .Verschlusselung 
wieder ruckgangig zu machen. Die Zusammenstellung und 
25 anschlieiSende Verschlusselung dieser Elemente der C 

Pruf information geschieht aufierdem in einer Weise, dass 
auch mit Kenntnis der Schltisselinf ormationen im Klartext, 
was jedoch theoretisch aufierhalb der vertrauenswurdigen "... 
Kontaktstelle und auEerhalb des kryptograf is chen Moduls ' 5*1: fit 

30 kaum mdglich ist, eine Aufdeckung des SchlusBeis zur ■ ^jV^;'*/ 

Verschlusselung der Pruf inf ormationen zur anschliefienden 
Entschlusselung an der Prufstelle vermieden wird. 

3. in einem dritten Schritt werden die im. ersten Schritt 
erzeugten Schlusselinf ormationen derart verschlxisselt , 
35 dass eine Entschlusselung nur im kryptograf ischen Modul 
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beim .Dokumenthersteller erf olgen kann, nicht jedoch auf • / 

dem tibertragungsweg dorthin. , 

4 . In einem vierten Schritt werden nun, yorzugsweise zusammen 
mifc anderen, die Manipulationssicherheit welter erhdhehden ' 

5 Informationen zum ahstehenden Ladevorgang des Kunden,. die 

zwei Arten von Informationen ubergeberi. .Zum einen ■ handelt t 
bb sich dabei urn die in Sehritfc 1 erstellte und in Schritt 
3 verschlusselte Schlusselinformation, die spater in das 
kryptograf ische Modul geladen, dort entschlusselt wirduiid 

10 dort auch zur Erstellung f alschungssicherer , Dokuraente 

verbleibt. Zum anderen handelt es sich dabei urn die in . ! \ 

Schxitt 2 gebildete verschlusselte Prftf information, die 

riur von der Pruf stelle wieder entschluaaelt werden kann 

und die an .jedes vom Dokumenthersteller spater erzeugte .* fc r. 

is Dokument angehangt wird. 

5. In einem funften Schritt werden die zwei Arten von 
Informationen, die im Rahmen dieser Erf indung relevant 
sind, zusammen mit anderen Informationen zum anstehenden 
Ladevorgang des Kunden, in der nicht vertrauenswurdigen 

20 stelle. zwischengespeichert. Bine Entschlusselung der. 

beideri re levant en Arten von Informationen ist an dieser 
.Stelle nicht moglich. Insbeeondere ist eine Aufdeekung des t 
Schlussela, der in der vertrauenswurdigen Stelle verwendet . f 

wurde, urn die Pr£f informationen derart zu vers chlfts seln, * ■ . U:*'. 

25 daas nur die Pruf stelle diese wieder entschlusseln kann, : 

schon deshalb nieht moglich, weil der Klartext der --v 
Schlussel information, der fur eine solche sogenannte 
Klartextattacke notwendig w&re, nicht vorliegt. 

6. In einem sechsten Schritt werden die .von der 

30 vertrauenswurdigen Stelle zur Verfugung gestellten * ~}' 

■ informationen zeitlich entkoppelt, z.B. im Rahmen des ; 

niachsten liadevorgangs , an das kryptograf ische Modul beim • - : '^i; • 

Dokument her b teller ubergeben* . f^ :; >4 % 

• ~j 

, 7. Der siebte Schritt weiet auf die Kommundkation zwischen 

35 nicht vertrauenewurdiger Stelle und kryptograf ischem Modul ' 
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10, Ih einem zehnten, vorzugsweise zeitlich entkoppelten 

Schritt gibfc der Kunde bzw. Dokumenthersteller die Inhalte 
dea zu aichemden Dokuments in das kryptograrische Modul 
35 ein. 
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hin,- die vorzugsweise durch zusatzliche geeignete Mittel 
. kryptograf isch abgesichert ist. Immerhin handelt es sich 
in der praktischen Realisierung urn die Kommunikation 
zwischen einem Vorgabezentrum eines Herstellers und dessen' 
5, Freiatetnpelmaschine mit kryptograf ischem Modul , die schon 

wegen ,des elektronisch ausgetauschten Ladebetrags gegen 
Manipulatipnen geschutzt warden muss. Ware diese 
Kommunikation nicht geschutzt, bo ware eine unberechtigte 
Erhdhung des Ladebetrags moglich. Nur im Sanne dieser 
*10 Erfindung gilt daher das Vorgabezentrum des Herstellers 

als „nicht verfcrauenBWurdige u Steile, in der praktischen 
Realisierung ist das Vorgabezentrum durchaus als 
vertrauenawurdig einzustufen, 

•8. Im achten Schritt findet eine Entechlusselung und . 
is anschliefien.de Speicherung der Schlusselinf ormation statt, : ."■ 

die in Schri'tt 3 verschlueselt wurde. Diese : « 

Schlusselinf ormation wird spater benutzt, urn Dokumente 
durch Erstellung eines Prufwerts abzusichern. Zur * ■ " * ; 

Vermeidung von oben bereits erwahnten Klartext-Attacken 
20 ist es wichtig, dass die Schlusselinf ormation nicht aus ' 

dem kryptograf ischen Modul -ausgelesen werden .kann, sondern S \. 

nur xnnerhalb des Module durch ebenfalls beinhaltete ' ;- f fp*; 

Prozesse verwendet wird. 

9 . In einem neunten schritt wird die verschlusselte 
2-5 . Pdif information, aus Schritt 2 - gespeictiert . Da diese 

Information bereits verschlusselt 1st und nicht weiter im p 
kryptograf ischen Modul zur Datenverarbeitung benotigt -g| 
wird, ist .ihre Speicherung auSerhalb des kryptograf ischen 
Moduls moglich. Die verschlusselte Pruf information wird -fiV '. )'. 

spater an jedes gesicherte Dokument angehangt, urn in der 
Prufetelle verwendet zu werden. 



• *?:*•• * t 
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li.ln einem elf ten Schritt wird mit den eingegebenen" 

Klartextinformatiohen des Dokuments unter Verwendung der 
noch . ges'peicherten Schlusselinf ormation aus Schritt 1 ein 
Prtifwert gebildet. Die Bildung des Prttfwerts findet durch 
5 Anwendung eines ublichen Prttfwert.-Verf ahreiis stafct, wie 

z.B. MAC, HMAC symmetrdsche Signatur o.a.. Mehrereii 
besonders bevorzugten Ausffthziingsf ormen ist gemein,. dass 
der Klartext des" Dokuments in der Regel irreversibel 
verkiirzt und gleichzeitig Oder anschliefiend mit einera 
10 Schlttssel, in diesem Palle der Schltisselinf ormation aus 

Schritt 1, verschlusselt wird. ] . 

12 . In einem zwolf ten Schritt wird nun das Dokument 

•ubertrageri. Das Gesamt dokument besteht dabei vorzugsweise 
aus mehreren, insbesondere drei Bestandteilen. Ein erster 
15 Bestandteil ist die eigentliche Kl ax-text information des 

Dokuments . . 

Als zweiter Bestandteil des Gesamtdokuments sind an den 
Dokument entext die verschlusselten Pruf inf ormationen aus 
Schritt 2 angehangt, die in Schritt 9 im kryptograf ischen 
20 Modul oder aufierhalb des Moduls gespeichert wurden und 

fortan jedem zu sichernden Dokument beigeftxgt werden. 
Als dritter Bestandteil des Gesamtdokuments ist der in 
Schritt 11 gebildete. Pz-ufwert angehangt. 

X3,rm dreizehnten Schritt erreicht das Dokument die 
25 Prfcfstelle, wo es auf strukturelle Vollstandigkeit und 

Unvearsehrtheit gepruft wird. In der konkreteri Anwendung 
der Erfindung zur PrGfung von Freimachungsvermerken konnen 
an dieser Stella auch weitere Schlussigkextsprafungen , 
stattfinden. Da in diesem Falle das gesicherte Dokument 
30 dem maschinenlesbaren Frankiervermerk. entspricht, kann 

dieser gegen andere Sendungsinf ormationen wie Anschrift 
und Sendungsart ebwie allgemeine Inf ormationen wie das 
Datum gepruft werden, Hierdurch kann ausgeschlossen 
werden, dass ein in sich gultiger Frankiervermerk 'zur 
35 Freitnachung einer nicht zu diesem Frankiervermerk 

passenden Sendung verwendet wird. 
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14 . Im vierzehnten Schritt wird die in Schritt 2 
ver'BcIilusselte Pruf information wieder entschlftsselt . Die 
aus mehreren Komponenten " zusammengesetzte Pruf information 
wird wieder in ihre Bestandteile zarlegt, Neben anderen 

.3" Informationen werden dabei insbesondere die 

Schlussel information und der Transaktions-Indikator 
gewonnen. Letzterar kann eiher zusatzlichen Prtifung 
dienen. So kann beispielsweise die im Transaktions- 
Indikator hinterlegte Identitat des Kunden bzw. 

10 Dokumentherstellers mit eiher in der Prufstelle 

hinteriegten Positivliste erwunschter Dokumenthersteller 
oder einer Negativliste unerwflnschter Dokumenthersteller 
. verglichen werden. 

15. In einem funfzehnten Schritt wird in Analogie zu Schritt 
15 11 ein Prufwert erstellt. Nach dem gleichen Verfahren wie 

v - bei Schritt 11 werden nun die in der Prtifstelle 

vorliegenden Klartextinf ormationen des Dokuments unter 
Verwendung der soeberi entschltisselten Schlusselinformation 
aus Schritt 14 ein Prufwert gebildet. Konnen vers.chiedene 
20 Verfahren zur Erstellung von Prufwerten im 

kryptograf ischen Modul moglich sein, so muss die konkrete 
wahl dee verfahrens ebenfalls angehangt an das Dokument 
oder im Dokument vorrt Dokumenthersteller an die Prftfsfcelle 
ubertragen werden. 

25 16 . Im abschliefienderi Schritt sechzehn wird der im 

kryptograf ischen Modul erstellte und an das Dokument 
angehangt e Prufwert mit dera in der Prftfstelle erstellten 
PrGfwert verglichen. Nur wenn beide Prftfwerte 
ubereinsfciramen, ist gewahrleistet r dass das Dokument unter 
30 Verwendung des kryptograf ischen Module beinr 

Dokumentherstellers erstellt wurde. 
Ein in missbrauchlicher Absicht agierender 
Dokumenthersteller,. der ein gesichertes Dokument eines 
Kunden vortauschen will, jedoch nicht Zugriff auf dessen 
35 kryptograf isches Modul hat, wird nicht in der Lage sein, 

die Schlusselinformation aus Schritt i zu erhalten und zu 
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entschlusseln. Diese ist jedoch unabdingbar, . urn einexi 
Prtifwert. herzustellen, dear mit dem in der- Pruf stelle 
hergestellten tibereinstimmt . Erfindet ein in 
missbrauchlicher Absicht agie'fender Dokumenthersteller 
5 hingegen eine geeignete Schlusselinf ormation, die ear auch 

sinngem&i5 korrekt zur Bildung eines Priifwerts anwenden 
kann, so gelingt es ihm nicht, eine hierzu passende 
verachlusselte Prftf information herzustellen, Diese 
verschlusselte Prtif information musste derart verschlueselt 
io. sein, dass nur die Pruf stelle in der Lage ist, eine 

Entschlusselung vorzunehmen. Ohne Kenntnis der verwendeten 
Schlussel lot? dies nicht moglich. Folglich ist das System 
sicher' und nicht uberwindbar . 



15 Durch die Brfindung ist es moglich/ falschungss'ichere . 

Dokumente zu erzeugen und die Unverf alschtheit der in. dem 
Dokument enthaltenen Daten und/oder die Identitat dee 
Dokumentherstellers zuverlaesig zu pruf en. 

Alle hierzu erf order lichen Pruf informationen werden 
20 vorzugsweise durch die vertrauenswurdige Kontakts telle 

und/oder das kryptograf ische Modul zur Verfugung gestellt- 

Die Erfindung eignet sich fur eine Erzeugung beliebiger 
- Dokumente, Es ist jedoch besonders vorteilhaft, die Brfindung 
fur eine Erzeugung digi baler Dokumente einer verhaltnistn&fiig 
25 geringeh Datenmenge in der Gr6£enprdnung von wenigen Bit bis. 
. zu Dokumenten mit einer Gesamtgrdfie einschlieSlich 
Pruf informationen bis etwa 60 byte einzusetzen. 

Besonders bevorzugte Dokumente im Sinne der Erfindung sind 
Gultigkeitsvermerke fur eine Vielzahl von AnwendungBgebieten. 
30 Es ist besonders vorteilhaft, die Erfindung fur eine 

Uberprufung digit ale.r Freitnachungsvermerke fur Postsenduiigen 
einzusetzen, da sie eine besonders schnelle und einfache 
Erzeugung der Freimachungsvermerke ermoglicht. Ein Einsatz 
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fur andere Getiete als Nachweis fur die Bntrichtung von 
Geldbetrageh digitale Wertmarken ' beziehungsweise als 
sonstiger Trager einer Geldwert information ist gleichfalls 
mdglich. 

Die Erf indurig'eignet sich insbe.sondere fur alle. 
Anwendungs f a 1 1 e , bei denen au£er dem Doicumentersteller 
wenigstens eine Prufinatanz ein Interesse an der 
Unverf&lsclitheit des Dokumente haben. Die Erf indung eignet 
sich hierdurch fur weite Anwendungsbereiche, insbesondere fir 
die Erstellung von digital en Wertmarken fur eine Vielzahl von 
Einsatzgebieten, beispielsweise als Flugtickets, Fahrkarten, 
Theater- • oder Kinokarten, Derartige Dokumente konnen mit 
Hilf e der Erf indung von dem Dokumenthersteller aelber. 
ausgedruckt werden, wobei es. moglich ist, dase der 
Dokumenthers teller hierzu vorhandene Guthaben - Oder . 
Kreditbetrage - ausnutst und auf diese Weise einen 
zuverlassigen Beweis der Zahlung erhS.lt. 

Das Erzeugen dieser Dokumente kann beispielsweise -fiber einen 
20 . herkoramlichen Personalcomputer oder einen kryptograf isch 

nicht gesicherten Drucker erfolgen. Ein besonderer Vorteil 
der Erf indung ist, dass die Erstellung der Dokumente ohne 
eine Verbindung zwischen der Erzeugung der Dokumente ohne 
direkte Verbindung zwischen. dem rjokumenthers teller und der 

• 25 . vertrauenswurdigen Kontaktstelle erf olgen kann. Die 
. Dokumentherstellung ist hierdurch auch bei .Zwischenschaltung 
einer Oder mehrerer Zwischenstellen, beziehungsweise bei 
einer Kommunikatibn uber kryptograf isch nicht oder nur schwer 
sicherbare Datenwege moglich. 

3 0 Die kryptograf isch vertrauenswurdige Kontaktstelle und/oder 

die Priifstelle erhalten Mittel um sicherzustellen, dass keine 
unberechtigten Dokumente erzeugt wurden, beziehungsweise dass 
keine Dokumente verfalscht wurden. Hierdurch ist es auf eine 





. r' 
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besondere einf ache und- zuverlasaige Weise m&glicli /; pr&fbar 
sichere digitals Dokumente zu erzeugen uiid diess Dokumente 
. zuverlassig zu uberprCif en . > 

,-Eine derartige Pirufung kann auf verschiedene Weisen erfblgen, 
5 wobei die genannten kryptograf iechen Verfahrenaachritte 

einfach und zruverlassig angewendet werden konnen* Hierdurch 
ist ein Einsatz der Erfindung auf&erhalb der besonders ■ 
bevorzugten tfoerprftfxiiig der Echtheit digitaler Freimachungeri 
von Fostsendungen, . beispielsweiee durch eine uberpnaf ung der 
10 Echtheit der digitalen Fahrkarten, ■ Flug tickets ect. durcb . 
einen Kontrolleur, beziehungaweise bei einer 
Einlasskontrolle, moglich. 

• Die dargeatellten erf indungsgema£en Mittel und 
Verfahrensachritte konnen auch auf Dokumente angewendet 

15 werden, die vor oder wahrend der Eretellung der 

F&lschungasicherheit im Sinne dieser Erfindung ebenfalls 
verschltisselt werden. In diesem Fall wird das Verfahren 
vbrzugsweise nicht auf einen unverschliisselten Klartext, 
sondern einen verschlilsseiten Text angewandt,, wobei sich 

20 jedoch die Verfahren dieser Erfindung nicht unteracheiden. Je 
nach Auspragungsform ware es gleichfalls moglich, dasa die 
VerschlAsselung ebenfalls im kryptograf ischen Modui erfolgt 
und. somit nach Daratellung in Pig. 3 ein Zwiscbenachrifct: der 
•Verschiasselung zwischen den hier geschilderten Schritten 

25 zehn und' elf erfolgen wurde. 



1 i:- 
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i. . • 



1. Verfahren zur Erstellung falschungssicherer Dokumente 

Oder Datensitze, wobei eine Schlusselinf ormation erzeugt 
wird und wobei eine verschlusselte Prufinformation aus 
s- der Schlusselinf ormation und einem Transaktionsin'dikator 

gebildet wird, d a d u r c h 

gekennze'icrinet, dass die Erstellung .der 
zufalligen Schlussel information und die Bildung der 
ver schlussel ten Parfif information, aus der 

10 Schlusselinf ormation und dem Transact ions irtdikator in 

einer kryptograf isch vertrauenswurdigen Kontaktstelle 
erfolgen., dass die kryptograf is ch vertrauenswurdige 
. Kontaktstelle die ' Schlusselinf ormation verschlusselt , und 
dass die verschlusselte Pruf information und die 

is ' verschlusselte Schlusselinf ormation von der 

kryptograf isch vertrauenswurdigen Kontaktstelle 4 an eine 
Zwischenstelle ubermittelt warden, dass die 
Zwischenstelle die verschlusselte Schlusselinf ormation 
und die verschlusselte Prufinformation zwischenspeichert 

20 und zu einem spateren Zeitpunkt zeitlich von der 

Sbertragung zwischen der kryptograf isch 

vertrauenswurdigen Kontaktstelle und der Zwischenstelle 
.entkoppelt an ein kryptograf isches Modul eines 
Dokumentherstellers ubermittelt . 

25 . 2. Verfahren nach Anspruch 1, dadurch 
gekenn z ei chnet, dass die 
, Schlusselinf ormation so •erstellt wird, dass die 
Schlusselinf ormation zufallig gebildet wird, 

3 . Verfahren nach einem oder mehreren der vorangegangenen 
3 0 Anspruche, dadurch g e k e n .'n z e i c h n e 1 / 

dass die , verschlusselte Schlusselinformation und/oder die 
verschlusselte Prufinformation so beschaffen sind, dass 
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sie in. der Zwischenstelle nicht entschl&sselt werden 
konnen.. 

4 - Verf ahren riach einem oder mehreren der vorangegangenen 
AnsprQche, dadurch gekennzei.ehnet, 
. 5 dass' das kryptograf ische Modul vorzugsweise mit einem in 

dem kryptografischen Modul enthaltenen Sqhltiesel eine 
Entschlusselung der Schlusselinformation vorniramt, 

5. Verf ahren nach einem oder mehreren der vorangegangenen 
Ansprttche, dadurch gekennzeichnet, 

lo dass der Dokumenthersteller eigene Daten dem 

kryptografischen Modul ttbergibt. 

6. Verf ahren nach einem oder mehreren der vorangegangenen 
Ansprttche, dadurch gekennseichne.t, 
dass das kryptograf ische Modul die vom Dokumenthersteller 

15 eingebrachten Daten mit der Schlttsselinformation 

irreversihel verknupft. 

7. Verf ahren nach Anspruch 6, dadurch 
g e kennz e i chne t, dass/ die irreversible 
Verknupfung zwisehen den von dem Dokumenthersteller 

20 eingebrachten Daten und der entschlusselten 

Schlusselinformation dadurch erfolgt, dass unter 
. Verwendung der Schlusselinformation ein Prftfwert f&r das 
. Dokument gebildet wird. 

8 - Verf a.hren nach einem oder beiden der Ansprtlche 6 oder 7 , 
25 dadurch gekennzeich.net, dass das ■ -1 

Ergebnis der irreveraiblen Verknupfung der von dem ; i : \ 

Dokumenthersteller eingebrachten Daten mit der 

' entschlusselten Schlftsselinf ormation ein Dokument ; : . 

und/ oder einen Datensatz bilden, der an eine Prftfstelle c \\ 

30 ubermittelt wird 



y '. 
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9. Verfahren nach Anspruch 8, dadurch 
gekennzeichnet, dass das an die Prdf stelle 
^ermittelte Dokument die von dem Dokumenthersteller 
eingebrachten eigenen Daten wenigstena teilweise im 

5 Klartext enthalt. 

10. Verfahren nach einera oder beiden der Anspruche 8 Oder 9, 
dadurch g e *k e n n z e i c h n e t' # dass in daB 
an die Pr&rstelle jubermittelte Dokument die 

verschlusselte Pruf information eingebracht wird. 

i. 

10 11 . Verfahren nach einera oder mehreren der vorangegangenen 
Ansprftche, dadurch g e k e n n* z a i c h n e t, 
dass in dem kryptograf ischen Modul informationen 
verbleiben, die derart verschluspelt sind, dass sie im 
kryptograf ischen Modul entschltisselt werden komien. • 

■ » ■ ^ 

15 12 . Verfahren nach einem oder mehreren der vorangegangenen 

Anspruche, dadurch gekennzeich.net, 

dass ,die Versorgung des kryptograf ischen Module roit den 

Inforraationen auch bei einer Speisimg fiber im 

, kryptograf ischen Sinne nicht vertrauenswurdige 

20 Kommunikationgpartner durch/eine kryptograf isch 

vertrauenswurdige Stelle erfolgt, auf deren Information 

sich die Pr&f stelle verlassen kann. 

13. Verfahren nach Anspruch 12 /.dadurch. 

g e k e n n z e i c hn e t, dass zur Bereitstellung 
vertrauenswQrdiger Informationen fur das kryptograf ische 
Modul durch sine vertrauenswurdige Stelle kryptograf ische 
Verschlusselungen angewendet werden, die die Pruf stelle 
rftckgangig tyiachen kann. 

' 14. Verfahren nach einem oder mehreren der Anspr&che bis 
30 13, dadurch gekennzeichnet, dass die .. ^-V \ 'h 

Versorgung dea kryptograf ischen Moduls fiber " 

kryptograf isch nicht vertrauenswurdige . . > 



■ ■ - * *. 



-ry 
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Komnriinikationspartnefr derart erfolgt, dass die 
Weiterreichung der Informationen an das kryptograf ische 
Modul zeitlich entkoppelt ist. 

15. Verfahren nach einem -Oder mehreren. der Anspruche 1 bis 
s 14, d a d f u r c h gekennzeichnefc, dass die 

Versorgung des kryptograf ischen Moduls uber 
kryptograf isch nicht vertrauenswurdige * » 
Kommunikationspartner derart erfolgt , dass ein Austausch 
von Informationen innerhalb eines Dialogs niche 
10 erforderlich ist. 

16: Verfahren nach einem oder mehreren, der Anspruche 1 bis 
14, dadurch gekennzeichnet, dass die 
beiden Arten von Daten kryptograf isch miteinander 
verkniipft sind,. jedoch nicht auf dem Wege~ der' 
IS Kryptoanalyse -aufgedeckt werden. 

17- Verfahren nach Anepruch 16, d. a d .u r c h 

gekennzeichnet, dass die kryptograf ische 
Vertaiupfung der beiden Arten von Daten dergestalt ist, 
dass nicht lineare Anteile, die nur der 
20 vertrauenswurdigeh Kontaktstelle und der Prufstelle 

bekannt sind, hinzugef-Qgt werden. 



■18. Verfahren nach. einem oder mehreren der vorangegangenen 
AnsprCiche, dadurch gekennzei. ch'net, 
dass die era tell ten f alschungssicheren Dokumente oder 
Datensqtze Geldwerteinf ormationen enthalten. 



19. yerfahren nach 18, dadurch 

ge kenn zeichnet, dass die 

Geldwerteinformation kryptograf isch mit dem Dokumant oder 
dem Datensatz derart verbunderi iat', dass durch einen 
30 Vergleich zwischen den Geldwerteinf ormationen und dem* 

Dokutnent oder den Datensatz ein Prufwert gebildet werden 
kann. 



r? ' * - - * 
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20. Verfahren nach einem ( oder beiden dear Anspruche 18 oder 

19 , dadurch gekennzeich'net, dass die 
Geldwerte inf ormationen einen Nachweis fiber die 
Entrichtung von Pqrtobetragen enthalten. 

5 21. Verfahren nach Anspruch 20, dadurch' 

gekennseichnet, da.es die den Entrichtung des 
Portobetrages nachweisenden geldwerter Inf ormationen mit 
Identif ikationsangaben dee Dokumentherstellers verkniipft 
sind. 

10 22. Verfahren nach einem oder beiden der Ansprftche 20 oder 

21 ,• dadurch gekennzeichnet, dass die 
geltwerten In£orniationen mit einer Adressangabe verknupft 
werden . 

23 . Wertubertragungszentrum mit einer Schnittstelle zum Laden 
is von Wertbetragen, dadurch, 

gekennzeicb.net, dass das. 

Wertubertragungszentrum eine Schnitts telle zum Empfang 
von verschlusselten Inf ormationen einer kryptograf isch 
vertrauenswurdigen Kontaktstelle und zur 
.20 Zwischenspeieherung der empf angenen vers chlussel ten 

Inf ormationen enthalt. 

24, Wertubertragungszentrum nach Anspruch 23, dadurch 
g. ekennz^eichnet , dass die Inf ormationen so 
verschltisselt sind, dass sie in dem 

25 Werttibertragungszentrum nicht entschlfisselt werden 

kdnnen. 

25 . Wertubetragungszentrum nach einem oder mehreren der 
Ansprftche 23 bis 24 , d a d u r c h 

gekennzeichnet, dass es Mittel f€ir einen - 
30 Empfaiig von Wertubertragungsauf forderungen durch * 

wenigstena ein kryptograf i aches Modul und zur zeitlich 
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entkoppelten Weitergabe der erhaltenen verschlflsselten - 
Informationen enthait ♦ 

26. Kryptograf isches Modul zur Erzeugung f &lschungssicherer 
Dokumcente- mit Mitteln zur Ausgabe von verschlfisselten 
s Pruf informationen und eines Frftfwerts, & a d u r c h 

g e k.ennz e i c h n e t, dass das kryptograf ische 
Modul wenigstens ein Mittel zum Empf ang und zur 
Entschlilsselung von Schltisselinf drmatiohen und wenigstens 
ein Mittel zum Empf ang eines Dokuments Oder eines 
10 DatenBatzesentha.lt,. und dass das kryptograf ische Modul 

wenigstens ein Mittel zur Erstellung eines Prufwerts ftir 
das Dokument oder den Datensatz unter Verwendung der 
Schltisselinformation enthalt; 



l :. 




f • : • ■ • 
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